Sicherheit muss die lückenlose Kette von der Sensor-Erfassung über Edge-Systeme bis hin zum Rechenzentrum absichern.
Ein effektiver Penetrationstest kombiniert klassische IT-Sicherheit mit industrieller OT und hardwarenaher Embedded-Analyse.
Der physische Zugriff auf Züge im öffentlichen Raum stellt ein erhebliches und oft unterschätztes Sicherheitsrisiko dar.
Die Integrität der Sensordaten ist wichtiger als reine Verschlüsselung, um die Manipulation von KI-Modellen zu verhindern.
Kritische Angriffsflächen entstehen primär durch drahtlose Schnittstellen und unzureichend gehärtete Edge-Knoten an der Strecke.
Die Automatisierung im Schienenverkehr schreitet voran. Moderne Züge
erfassen ihre Umgebung über Kameras und weitere Sensorik, führen
Selbsttests durch, kommunizieren mit Edge-Systemen entlang der Strecke
und übertragen große Mengen an Aufzeichnungsdaten in Rechenzentren.
Aus sicherheitstechnischer Sicht entstehen dadurch hochkomplexe,
verteilte Systeme mit folgenden Eigenschaften:
Fahrzeuginterne Netzwerke mit industriellen und automotive Komponenten
Sensorboxen zur Umfelderkennung
Drahtlose Hochverfügbarkeitsverbindungen
Edge-Processing in Streckennähe
Zentrale Datenspeicherung im Rechenzentrum
Teilweise physisch zugängliche Fahrzeuge im öffentlichen Raum
Ein Penetrationstest solcher Systeme unterscheidet sich deutlich von
klassischen IT-Tests. Es handelt sich um eine Kombination aus IT-, OT-
und Embedded-Security-Analyse.
Automatisierte oder teilautomatisierte Züge bestehen typischerweise aus
mehreren sicherheitskritischen Komponenten:
Im Fahrzeug selbst befinden sich Sensorboxen mit Kameras,
Umfelderkennungssystemen und weiteren Messkomponenten. Diese sind häufig
sowohl vorne als auch hinten im Zug verbaut, um bidirektionale Fahrten
abzudecken.
Die Sensorik erfasst:
Umgebung des Gleisbereichs
Zustand der Infrastruktur
Objekte im Gefahrenbereich
Bewegungen nahe Bahnsteigen
Die Daten werden im Fahrzeug über ein dediziertes Ethernet-Netzwerk
verarbeitet. Häufig existieren zusätzlich serielle Schnittstellen für
einzelne Komponenten. In vielen Architekturen ist dieses Netzwerk
logisch oder physisch vom restlichen IT-Netz getrennt.
Für Trainings-, Analyse- oder Wartungszwecke werden die erfassten Daten
regelmäßig an Edge-Systeme übertragen. Von dort erfolgt die
Weiterleitung über dedizierte Glasfaserstrecken in zentrale
Rechenzentren.
Drahtlose Backhaul-Verbindungen stellen dabei eine kritische Kommunikationsschicht dar.
Das Bedrohungsmodell in solchen Projekten umfasst mehrere Ebenen:
Fahrzeuginterne Manipulation
Drahtlose Angriffe auf die Kommunikationsinfrastruktur
Kompromittierung der Edge-Systeme
Datenmanipulation während der Übertragung
Datenschutz- und Integritätsrisiken
Physischer Zugriff auf das Fahrzeug
Ein zentrales Merkmal: Fahrzeuge können zeitweise unbeaufsichtigt auf Gleisanlagen stehen und physisch zugänglich sein. Dadurch erweitert sich die Angriffsfläche erheblich.
Innerhalb des Zuges existiert häufig ein vollständig separiertes Ethernet-Netzwerk zur Anbindung der Sensorik.
Sicherheitsrelevante Fragestellungen sind unter anderem:
Werden Default-Konfigurationen in Sensoren verwendet?
Existieren hartkodierte Zugangsdaten?
Sind serielle Schnittstellen zugänglich oder abgesichert?
Können Firmware-Versionen manipuliert werden?
Gibt es Debug- oder Maintenance-Interfaces?
Besonders kritisch sind Komponenten, deren Implementierung durch Drittanbieter erfolgt. Wenn Sicherheitskonfigurationen nicht transparent dokumentiert sind, entsteht ein erhöhtes Risiko durch Fehlannahmen oder ungehärtete Standardsettings.
Ein Penetrationstest analysiert hier sowohl Netzsegmentierung als auch die tatsächliche Durchsetzbarkeit der Isolation.
Die Übertragung der Fahrzeugdaten erfolgt häufig über drahtlose Hochverfügbarkeitsverbindungen.
Sicherheitsrelevante Aspekte umfassen:
Erzwingung moderner Verschlüsselungsstandards
Absicherung gegen Rogue Access Points
Authentifizierungsmechanismen
Schutz vor Downgrade-Angriffen
Manipulation von Konfigurationsparametern
Insbesondere bei WiFi-basierten Lösungen im 6-GHz-Band muss geprüft werden, ob starke Authentifizierung erzwungen wird und ob sich unautorisierte Geräte einklinken können.
Auch Multi-Path-TCP-Verbindungen oder getunnelte SSH-Verbindungen müssen auf Integrität und korrekte Schlüsselverwaltung geprüft werden. Eine verschlüsselte Verbindung allein garantiert keine Sicherheit, wenn Schlüsselmanagement oder Host-Verifikation unzureichend umgesetzt sind.
Die aufgezeichneten Sensordaten werden regelmäßig übertragen. In typischen Szenarien entstehen innerhalb weniger Stunden große Datenmengen, die automatisiert in Edge-Systeme eingespeist und anschließend ins Rechenzentrum übertragen werden.
Kritische Prüfbereiche sind:
Können Daten während der Übertragung manipuliert werden?
Ist Replay von Daten möglich?
Werden Hashes oder Signaturen verwendet?
Ist eine Integritätsprüfung implementiert?
Besteht die Möglichkeit zur Injection synthetischer Sensordaten?
Gerade bei Systemen, die Umfelderkennung für Trainingszwecke nutzen, ist Datenintegrität essenziell. Manipulierte Trainingsdaten können langfristige Auswirkungen auf Entscheidungsmodelle haben.
Edge-Systeme entlang der Strecke übernehmen häufig die Rolle eines Zwischenspeichers oder Vorverarbeitungsknotens.
Typische Fragestellungen im Pentest:
Existieren administrative Zugänge ohne ausreichende Härtung?
Werden Jump-Hosts korrekt abgesichert?
Sind Rollen und Rechte sauber getrennt?
Gibt es ausschließlich hochprivilegierte Konten?
Systeme ohne niedrig privilegierte Benutzerrollen bergen ein erhöhtes Risiko, da jeder Zugriff potenziell umfassende Rechte besitzt.
Auch die Anbindung an Storage-Systeme muss überprüft werden -- insbesondere wenn diese über Client-Authentifizierungsmechanismen angebunden sind.
Ein häufig unterschätzter Faktor ist der physische Zugriff.
Wenn ein Zug ohne Videoüberwachung oder physische Sicherung auf einem Abstellgleis steht, müssen folgende Szenarien betrachtet werden:
Anschluss eines eigenen Geräts an interne Ports
Zugriff auf Sensorboxen
Manipulation von Verkabelung
Austausch von Komponenten
Zugriff auf Wartungsschnittstellen
Physische Sicherheit ist in solchen Projekten kein theoretisches Randthema, sondern realer Bestandteil des Bedrohungsmodells.
Bei Umfelderkennungssystemen werden regelmäßig Kamerabilder erfasst, die Personen an Bahnsteigen oder im Gleisbereich zeigen können.
Nicht akzeptable Risiken in diesem Kontext sind insbesondere:
Unkontrollierte Langzeitspeicherung
Fehlende Zugriffsbeschränkung
Unzureichende Anonymisierung
Unklare Datenverarbeitungszwecke
Neben technischer Sicherheit muss daher auch die Einhaltung datenschutzrechtlicher Anforderungen geprüft werden.
Ein solcher Pentest unterscheidet sich methodisch von klassischen IT-Tests:
Kombination aus IT-, OT- und Embedded-Testing
Analyse drahtloser Hochverfügbarkeitsnetze
Bewertung von Integritätsmechanismen für Sensordaten
Untersuchung physischer Angriffsvektoren
Prüfung von Rechte- und Rollenkonzepten
Validierung der Netzwerksegmentierung im Fahrzeug
Hinzu kommt, dass Teile der Architektur während der Projektphase möglicherweise noch angepasst werden. Daher müssen Scope-Definition und Risikobewertung eng abgestimmt werden.
Automatisierte Zugsysteme sind keine isolierten Fahrzeuge, sondern vernetzte, datenintensive Plattformen mit:
Embedded-Systemen
drahtlosen Kommunikationsstrecken
Edge-Computing-Komponenten
zentraler Datenhaltung
physischer Exponierung im öffentlichen Raum
Die sicherheitskritischen Punkte liegen nicht nur in der Verschlüsselung oder im Transportkanal, sondern in der Gesamtkette aus:
Erfassung → Verarbeitung → Übertragung → Speicherung → Weiterverwendung.
Ein fundierter Penetrationstest muss diese gesamte Kette technisch analysieren und bewerten, ob Integrität, Vertraulichkeit und Verfügbarkeit der Systeme realistisch gewährleistet sind.